DB암호화 구축서비스
아직도 개인정보보호법을 꼭 지켜야 되는지 물어보시는 경우가 있습니다.
우리는 그냥 경고나 지적하고 가겠지? 라거나 단속나오면 그때 하면 되지… 라고 매우 낙관적으로 생각을 하시는 경우를 봅니다. 분명한 것은 법이 이미 2011년9월30일부로 시행되었고 법 적용에 따른 특수성때문에 항목별로 유예기간을 둔 다음 최종적으로 2013년 3월말 부로 모든 개인정보보호법의 각 조항이 예외없이 적용되고 있습니다. 이미 2011년부터 유예기간을 적용받지 못했던 산업군에 속한 기업들은 예외없이 상당한 금액의 벌금과 함께 조치가 완료될 때까지 계속 검찰의 조치가 있었던 것을 직접 경험하였습니다. 해당기관의 기관장까지 처벌하겠다는 정부의 강력한 의지까지 발표된 것을 고려한다면 피해서 될 일은 아닌것이 분명합니다.
개인정보를 보유하고 있는 경우 단 두가지 선택만 있습니다. 가장좋은 방법은 개인정보를 삭제해 버리는 것입니다. 업무나 영업에 반드시 필요한 최소한의 기본 정보만 보유하고 나머지는 삭제 하여서 보호대상을 아예 없애버리거나 최소화 하는 것 입니다. 그러나 업무적으로 삭제할 수 없는 경우에는 반드시 암호화 및 접근제어등의 최소한의 보호조치를 해야만 할 것입니다.
개인정보보호법 개요및 이해
개인정보보호법은 이미 시행이 되어 적용이 되고 있으며, 각 분야별로 있던 특별법이 모든분야별 조직과 개인을 대상으로 적용되는 일반법으로 변경되었다는 것이 핵심입니다. 그리고 많은 분들이 혼란스러워 하는 부분인 통합되어 발표된 개인정보보호법과 기존의 특별법과의 관계는 특별법에서 정의하고 있던 내용들 중에 개인정보보호법과 상충되거나 중복되는 것은 개인정보보호법을 따르게 되며 개인정보보호법에 명시되지 않은 부분은 특별법을 그대로 적용하게 되는 것입니다. 즉, 개인정보보호법은 기존특별법의 상위법이 되는 개념입니다.
예를 들어 개인정보보호법에서는 식별번호(주민등록번호,운전면호번호,여권번호,외국인등록번호)와 민감정보에 대해서 보호조치를 하라고 되어있으므로 개인의 금융정보(계좌번호,카드번호)등은 하지 않아도 되는 것이 아니냐는 질문을 종종 받습니다. 그러나 해당 기관이 속한 분야의 특별법에 개인의 각종 금융정보도 보호조치를 하도록 되어있는경우에는 같이 해야 된다고 권고를 해 드리곤 합니다.
아래의 도표는 개인정보보호법 시행이전과 이후로 적용대상이 전국민과 전 조직으로 확대되었고 책임과 처벌내용을 확실히 하고 있습니다. 실제로 여러회사에서 벌금을 내고 검찰에 몇번이나 출두한 뒤 조치한 내용을 보고하고서야 마무리 되는 것을 보았습니다. 이 법안 자체는 양벌규정으로서 도둑맞은 사람도 처벌하는 것과 같이 약간 위헌적요소가 있긴합니다만 개인정보를 위험물안전관리법과 같이 위험물에 대한 관리나 보관을 잘못해서 사고가 날 경우 처벌 받는 것과 동일한 시각으로 본다면 이해가 되는 법안입니다. 어찌되었건 개인정보의 유출에 대한 책임은 그 정보를 수집한 사람에게 있는 것은 분명한 것 같습니다. 그러므로 정당하게 수집하고 보유한 개인정보에 대해서는 안전하게 관리해야할 책임이 있는 것입니다. 그리고 만약 개인정보 유출사고가 발생했을 경우 적절한 개인정보보호조치를 한 경우에는 처벌기준에서 최대 50%까지 할인(: 해 준다고 합니다. 보호조치 없이 사고가 났을 경우 법대로 집행한다고 합니다. 법정에 가서도 말만 잘하면 좀 깎아주고 하나 봅니다. 말의 위력!
서비스개요
서버의 데이터를 보호하기위한 암호화 솔루션을 구현하기 위해서는 가장먼저 암호화 구축목적과 범위, 암호화 대상정보의 분석, 사용자 환경의 분석, 어플리케이션 유형 분석, 전반적인 전산자원에 미치는 영향도 분석, 수행역량분석 등을 통해 각 고객별로 가장 최선의 암호화 구축 전략을 마련하고 이에 따른 최적의 구현방법과 솔루션을 설계하여야 합니다.
그러나 대부분의 경우 이러한 전략 없이 암호화 솔루션에 대해서만 단편적으로 검토하여 도입을 결정하는 경우를 보게 됩니다. 이러한 경우 프로젝트가 원활히 진행되지 못하고 몇번의 시행착오를 거치면서 시간에 쫓겨 불완전한 형태로 프로젝트를 완료하게 됨으로써 향 후 운영상 어려움을 겪게 될 가능성이 매우 높아지게 됩니다. 그러므로 암호화구축을 위해서는 먼저 사전준비작업을 충분히 거친 후 최적의 솔루션과 기술적 설계가 반드시 필요할 것입니다. 저희는 이런 부분들을 충분히 고려하여 최적의 솔루션으로 안정적인 적용이 될 수 있도록 노력하고 있습니다.
서비스구성
- 암호화 구축목적 및 범위 협의
- 암호화 대상정보의 분석: DB 정보분석
- 서버영향분석: 전산자원 및 트랜잭션분석
- 어플리케이션 분석: 유형 및 대상분석
- 솔루션선정 및 구현기술 설계
- POC/BMT
- 솔루션및 구현기술 설계 최종 확정
- 솔루션 구축: 마이그레이션 및 테스트계획 수립및 검증
- 적용
고려사항
암호화솔루션을 몇년전 부터 공부하고 나름 준비를 참 많이 했다고 생각했지만 프로젝트 할 때 마다 느끼는 것은 조금만 조직규모가 있거나 전산시스템 도입운영 햇수가 좀 오래된 경우에는 굉장히 조심스러워 집니다. 가장 이슈가 되는 부분은 역시
- 속도와 부하의 문제
- 프로그램소스들이 없거나 일치가 되지 않는 경우
- 서비스 채널이 많거나
- 대외서비스가 연동되어있는 경우
- 테스트환경이 없는 경우
- 운영되고 있는 시스템의 환경이나 프로그램에 대해 제대로 파악하지 못하고 있는 경우
- 마이그레이션을 위한 서비스중단 시간은 짧은데 데이터량이 엄청 많은 경우 등
꽤 많은 문제들이 발견되곤 하였습니다. 이제 구축사례들이 늘어나면서 많은 경험치가 쌓이게 되니까 암호화 솔루션 자체의 기능적 차이보다는 고객사의 업무분석과 연계하여 암호화구축 설계를 어떻게 하는것이 가장 좋을까를 생각하게 되었습니다. 영업하는 사람들이 흔히 하는말로 “너무 알면 못판다” 는 말이 사실인가 봅니다. 이제 발생될 수 있는 모든 문제를 저희 기술력으로도 충분히 해결할 수 있다고 생각하지만 아무데나 가서 프로젝트 하고 싶지는 않은것이 솔직한 심정입니다. 어차피 많이 할 수 도 없는 분야라서요… ㅎㅎ
암호화적용시 검토사항
적용 솔루션
암호화 솔루션마다 장.단점이 존재하고 같은 솔루션이라 할지라도 암호화구현방법에 따라 현격한 결과의 차이가 있기 때문에 저희회사에서는 특정솔루션을 먼저 제안하지는 않습니다. 사전 인터뷰와 현황분석을 통해 구현방법을 검증한 후 솔루션과 방법론을 제안하게 됩니다. 현재 저희회사에서 보유하고 있는 솔루션만도 국내.외 3개솔루션을 총판하고 있지만 솔루션들 마다 장.단점이 차이가 있기 때문에 솔루션소개자료부터 보내달라는 요청이 가장 곤란합니다. 최소한의 정보(인프라정보,범위,데이터량,적용업무,프로그램정보 등)는 준비해서 솔루션업체들과 상의하시면 좋을 것 같습니다.
다만 대부분의 솔루션들이 적용하는 적용방식별 비교표는 참고로 하시면 되겠습니다. 일반적으로 인터뷰시에 가장먼저 느끼는 것은 대부분의 경우 이런저런 이유를 들어 기존 어플리케이션의 수정없이 진행을 하시고싶어하는 것을 느끼게 됩니다. 그러나 실제적으로 Plug-In방식을 적용한다고 하더라도 기존 어플리케이션의 수정이 전혀 없을 수가 없습니다. 그것은 대부분의 경우 속도문제나 예외적인 사항이 발생하여서 결국에는 수정이 발생하는 경우를 많이 보기 때문입니다. 또한 자동으로 모든 접근데이터에 대한 암.복호가 발생하기 때문에 시스템 운영상 어떤현상이 발생할 지 예측할 수 없게 됩니다. Plug-In이 결국 트리거이기 때문에 트리거의 문제점은 다 아시죠? 그래서 Plug-In방식은 설계시 가장 최후의 수단으로 검토하는 것을 원칙으로 합니다. 예를 들어 프로그램소스를 분실했을 경우라든지 패키지프로그램을 사용하는데 소스수정이 지원되지 않는 경우 그리고 속도에 전혀 신경쓰지 않아도 되는 시스템등이 되겠죠… 그 이외에는 가급적 API나 Proxy방식을 이용해서 사용자가 원할때 원하는 경우에만 암.복호를 통제할 수 있는 구조가 가장 속도나 안정성면에서 유리하다고 판단이 됩니다.
서비스특징
- 고객의 환경과 요건에 최적화된 솔루션 및 구현방안을 제공합니다.
- 환경분석 단계에서부터 운영환경과 유사한 테스트 환경을 구축하여 프로젝트를 진행함으로써 운영리스크를 최소화 하도록 진행합니다.
- 고객의 어플리케이션환경을 분석할 수 있는 개발자, 시스템엔지니어 및 솔루션전문가등으로 구성된 전문프로젝트팀의 통합서비스를 제공합니다.
- 일반적으로 프로젝트기간은 중.소규모의 시스템인 경우 대상정보나 방식에 따라 약4주에서 8주 정도가 소요되고 있습니다. 프로젝트 기간 중 가장많이 소요되는 시간은 역시 테스트입니다. 테스트를 많이 그리고 철저하게 할 수록 적용 후 안정성은 급격히 향상됩니다. 테스트완성도와 안정성은 역시 반비례 한다고 보시면 되겠습니다.
기대효과
- 개인정보보호법 시행법령 준수기준을 충족하기위한 최적화된 설계적용
- 고객사별로 최적화된 설계
- Performance Impact을 최소화 할 수 있는 구현방안 적용
- 고객의 다양한 요건을 고려한 최적의 암호화 구현 전략 제공
구축사례
고객정보보호를 위해 사례를 구체적으로 제시하지는 못하지만 1년 반동안 약 10여개사에 구축이 되었습니다. 저희의 수행역량은 1년에 최대 10개사 정도인것 같습니다. 저희도 많이 하면 좋겠지만 암호화 만은 그러고 싶지 않네요(: 읽어 주셔서 감사합니다.
9월30일자로 발표된 행안부의 발표자료입니다. 점점 강화되는 추세가 뚜렷해 보이네요…
“앞으로 개인정보보호법 위반 기관·기업 명단 공표한다”
안행부, 개인정보보호법 시행 2년(9.30), 그간 성과와 향후과제 발표
앞으로 개인정보보호법 위반 기관이나 기업에 대한 처벌이 한층 강화된다.
개인정보 무단수집, 오·남용 등 법 위반 기관·기업의 명단이 공표되고 과징금 부과와 CEO 징계권고제도가 시행된다.
안전행정부(장관 유정복)는 9월 30일 개인정보보호법 시행 2주년을 맞아 그간 운영성과와 문제점을 점검하고 향후 개선방안을 발표했다.
안전행정부는 ‘11.9.30 법 시행 이후 분야별 관련 법·제도 정비, 인식개선을 위한 교육·홍보, 실태개선을 지속적으로 추진해 왔다.
하지만, 개인정보를 유출한 기업이 여전히 민·형사상 책임을 지지않는 경우가 있고, 일부 사업체는 불필요한 개인정보를 요구하여 국민에게 불편을 초래하고 있다는 지적도 있었다.
안전행정부는 이러한 문제점을 개선하기 위하여 그간의 성과를 진단하고 향후 과제를 발표하였다.
앞으로 안전행정부는 개인정보 무단수집·오남용 기관에 대한 책임성을 강화하고 국민생활에 불편을 주는 실태와 관행을 적극 개선하는 방향으로 제도를 개선해 나갈 예정이다.
첫째, 법 위반 기관·기업에 대한 행정처분 결과를 공표한다.
- 위반행위의 내용 및 정도, 위반기간 및 횟수, 위반행위로 인한 피해의 범위 및 결과 등을 고려하여 법 위반 기관이나 기업의 명칭, 과태료 부과 등 행정처분 내용을 개인정보보호위원회의 심의·의결을 거쳐 전자관보와 홈페이지를 통해 국민에게 공표하게 된다.
둘째, 주민번호를 유출한 기업에 대해서는 ‘14.8월부터 과징금 부과(최고 5억) 및 CEO 징계권고제를 시행한다.
셋째,「개인정보 민원 예보제」를 도입한다.
- 개인정보 침해신고 및 상담 현황, 국민신문고 등 각종 민원 제기사항, 언론보도 등을 종합적으로 상시 분석하여 개인정보 침해 우려가 높은 사항은 예보를 발령하여 국민이 침해에 사전적으로 대응할 수 있도록 맞춤형 서비스를 제공한다.
넷째, 국민생활과 밀접한 관련이 있는 주요 민간업종의 계약서 등 각종 서식(163종)을 일괄 정비한다.
- 주민번호를 관행적으로 수집하거나 필요이상의 개인정보를 수집하거나 동의서식 및 동의항목이 복잡하여 혼란이나 불편의 여지가 있는 경우에는 이를 간소하게 정리해 나간다.
안전행정부 김성렬 창조정부조직실장은 “법 시행 2년째를 맞아 민·관의 적극적 노력으로 개인정보보호법에 대한 국민적 인식이 상당히 높아졌다”면서 “향후에는 국민에게 불편을 야기하는 분야의 실태 개선에 주력하는 한편, 법 위반 기관·업체의 명단을 적극 공개하여 국민의 알권리와 기업의 책임성을 강화해 나가겠다”고 강조하였다.
* 자세한 내용은 첨부된 자료를 참고하시기 바랍니다.
* 담당자 : 개인정보보호과 사무관 김성규 02-2100-3460
2013.09.30 안전행정부
DB암호화 3가지 방식별로 7, 7, 1종의 제품이 있다고 하셨는데. 각 제품명을 알 수 있을까요?
안녕하세요?
기본적으로 모든 솔루션들이 API방식과 Plug-in 방식은 모두 지원을 합니다. Proxy 방식을 추가로 지원하고 있는 솔루션은 애슬론(유비엠정보) 이라는 제품입니다. 나머지 7가지 제품은 아래와 같습니다. 또한 최근에 암호화솔루션이 몇가지 더 출시된 것들도 있지만 조금 급조된 느낌이 듭니다. 이렇게 애슬론을 포함해서 총 8개 솔루션이 현재 어느정도 검증된 국산솔루션들입니다. 그리고 외산솔루션들은 이보다 훨씬더 종류가 많고 역사도 깊어서 사실 국산 솔루션들보다 보안성, 안정성 및 완성도가 상당히 높습니다. 다만 애시당초 국내 개인정보보호법에 대응하기 위해 준비된 국산솔루션들이 외산솔루션들보다 추가적인 편의기능 그리고 국내법에 맞추어서 추가된 부가기능등이 있어서 국내에서는 그리 많이 도입하지는 않고 있는 실정입니다.
1. 소프트포럼 XecureDB
2. 이글로벌 CubeOne
3. 이니텍 SafeDB
4. 케이사인 SecureDB
5. 팬타시큐리티 디아모(D’Amo)
6. 소만사 DB-i
7. 신시웨이 PETRA
아참… 위에 나열한 솔루션순서는 아무 의미 없습니다. (:
요즘 유행하는 프레지라는 툴로 암호화구현에 대한 전반적인 내용을 요약한 PT자료입니다. 아래의 링크로 들어가셔서 화면이 나오면 플레이화면 오른쪽 하단에 삼각형 플레이 아이콘이 있습니다. 감상해 보세요….
http://prezi.com/zh4utnpnfeq4/?utm_campaign=share&utm_medium=copy&rc=ex0share